Om cloud- en lokale applicaties te integreren en automatiseren, maken ketens gebruik van Amazon® Web Services (AWS) beveiliging en een iPaaS-architectuur om te voldoen aan uitgebreide bedrijfsarchitectuurstandaarden en een strikt IT-beveiligingsbeleid. Elke laag van de Chain Builder architectuur beschermt klantgegevens en:
- Biedt toegangscontrole tot de gevoelige systemen waarmee het communiceert
- Voldoet aan de eisen van moderne architectuur
- Is SOC1- en SOC2-conform
- Overtreft vaak de vereiste cloudcertificeringen
Referentiearchitectuur
Je bouwt veilig ketens over het HTTPS-protocol (TLS 1.3 of hoger) via web- en mobiele apparaten. Binnen de hostservice draait de primaire applicatie, een Advanced Encryption Standard (AES)-gebaseerde database die veilig metadata en een wachtrij herbergt om de communicatie en taakuitvoering op externe CloudRunner en GroundRunner service agents te beheren.
Samengevat omvat de architectuur van de kettingbouwer:
- De veilige browsergebaseerde gebruikersinterface om integraties uit te voeren en te beheren.
- De centrale multi-tenant service gehost in Amazon Web Services (AWS)
- Externe uitvoeringsagenten van CloudRunner en GroundRunner voor een interface met applicaties in de cloud en op locatie
GroundRunners en CloudRunners
De uitvoeringsagenten, bekend als GroundRunners, worden op locatie gehost en vormen een interface met applicaties binnen en buiten het klantnetwerk. Grondlopers:
- Een lichte voetafdruk hebben.
- Ondersteunt Microsoft Windows®, Linux®, macOS® en Oracle Solaris® besturingssystemen op fysieke en virtuele computerbronnen.
- Voer alle vereiste automatiserings- en integratietaken uit, van het uitvoeren van een eenvoudig besturingssysteemcommando tot native applicatiebewerkingen zoals het laden of ophalen van gegevens.
Om toegang te krijgen tot een on-premises systeem, moet je een GroundRunner hosten op een besturingsomgeving die toegang heeft tot de host service.
Als je geen toegang tot een lokaal systeem nodig hebt, voert de standaard CloudRunner gehost door Workiva de integratietaken uit.
| Overwogen inzet | GroundRunner | CloudRunner |
|---|---|---|
| Installatie | Vereist installatie op een computeromgeving binnen je bedrijfsfirewall die kan interfacen met de externe hostservice via poort 443. Meer informatie | Geen |
| Besturingssysteem | Microsoft Windows, Linux, Oracle Solaris of macOS. De uitvoerbare bestanden draaien als een service en moeten worden gestart onder een bepaalde serviceaccount met de juiste rechten voor het besturingssysteem of andere gedeelde bronnen. | Niet van toepassing |
| Serviceverantwoordelijkheid | Uw organisatie is verantwoordelijk voor het hosten, beheren en installeren van GroundRunners | De standaard CloudRunner, geleverd als onderdeel van Chain Builder, is Workiva's verantwoordelijkheid |
| Gegevensstroom | Met het gebruik van een GroundRunner worden je gegevens niet verzonden via de hostservice | Wanneer de CloudRunner rechtstreeks met een ondersteunde cloudtechnologie interfacet, verzendt het gegevens via de hostservice |
| Integratie op locatie en in de cloud | Volledige en naadloze integratie met zowel on-premises als cloudapplicaties | Alleen integratie tussen cloudapplicaties |
| Native gebruik van gepubliceerde API's van applicaties | Afhankelijk van het systeem op locatie maken verbindingen gebruik van verschillende API's (Application Programming Interfaces). Voor cloudtechnologieën gebruiken verbindingen alleen gepubliceerde REST API's die gegevens veilig verzenden via HTTPS (TLS 1.3). | Verbindingen maken alleen gebruik van gepubliceerde REST API's die gegevens veilig via HTTPS (TLS 1.3) verzenden |
GroundRunners controleren regelmatig op nieuwe upgrades. Wanneer een GroundRunner een upgrade detecteert, downloadt het automatisch de nieuwe binaries met behulp van de strenge beveiligde transportlaag. U kunt ook binaries handmatig downloaden en implementeren. Om man-in-the-middle aanvallen te voorkomen, worden nieuwe binaries ondertekend en versleuteld.
Netwerkbeveiliging
Chain Builder wordt gehost op AWS en het netwerk opereert binnen een Virtual Private Cloud (VPC). Met deze virtuele firewall kan Workiva het verkeer van en naar Chain Builder regelen. Op een meer granulair niveau worden de diensten van Chain Builder gehost binnen publieke en private subnetten (geïsoleerde blokken IP-adressen) van de VPC. De VPC fungeert als een DMZ, waarbij:
- De openbare subnetten bevatten diensten die rechtstreeks toegankelijk zijn via het openbare internet via HTTPS-verzoeken op een enkele poort (443).
- De privésubnetten houden openbaar verkeer tegen en hosten interne diensten die alleen toegankelijk zijn voor diensten binnen de VPC.
Beveiliging gegevensoverdracht
Om de volledige veiligheid van gegevensoverdracht tussen systemen te garanderen, wordt al het verkeer van en naar Chain Builder versleuteld met het TLS 1.3-protocol met behulp van 2048-bits certificaten. Daarnaast wordt de communicatie tussen interne applicaties versleuteld om ervoor te zorgen dat alle verzendingen afkomstig zijn van een legitieme bron.
GroundRunners en de CloudRunner ondersteunen de directe uitwisseling van gegevens, waarbij agents bestanden kunnen downloaden en uitwisselen via een communicatiekanaal dat gebruik maakt van hetzelfde TLS 1.3 protocol in aanvulling op een JSON Web Token (JWT). Elke GroundRunner ondersteunt directe agent-naar-agent gegevensuitwisseling en is configureerbaar om deze optie in of uit te schakelen en de luisterpoort te regelen (standaard 8821).
Om een beveiligd kanaal te creëren, werken GroundRunners ook met een zakelijke proxyserver die door de IT-afdeling van je bedrijf wordt aangestuurd om te communiceren met de hostservice.
Beveiliging databaselaag
Databaseservers worden gehost binnen privésubnetten. Deze databases zijn niet direct toegankelijk vanaf het openbare internet; alleen services binnen het VPC kunnen er verbinding mee maken. Alle verbindingen met databases zijn beveiligd met een wachtwoord en alleen de benodigde poorten zijn toegankelijk. Om gegevensverlies te voorkomen, zijn de databases zeer redundant en verdeeld over meerdere datacenters.
Van databases wordt dagelijks een back-up gemaakt. Deze snapshots worden opgeslagen in Amazon Simple Storage Service (S3) met een coderingsniveau van AES-256 en in meerdere beschikbaarheidszones om een extra laag van veilige redundantie te garanderen.
Beheer van gegevens en metadata
Om gegevens te beschrijven en van informatie te voorzien, slaat de hostservice deze metagegevens op met een coderingsniveau van AES-256:
- Ontwerp metadata, zoals de configuratie van workspaces, ketens en taken.
- Audit metadata, zoals de wijzigingsgeschiedenis voor elk onderdeel, inclusief workspaces, ketens, bestandsbronnen en planningen.
- Runtime metadata, zoals de geschiedenis van chain- en taskruns en eventuele logs geproduceerd door de server, CloudRunner of GroundRunners.
De CloudRunner en GroundRunners voeren alle gegevensoverdracht uit en hebben een directe interface met:
- Het Workiva platform
- Cloudapplicaties zoals Anaplan®, Salesforce®, Oracle® EPM Cloud en Tableau®
- On-premises toepassingen zoals Oracle® Hyperion of SQL Server® via hun native API's
Een keten kan een taak bevatten die een tijdelijk staging flatbestand produceert dat bekend staat als uitvoer.
- Als de CloudRunner de uitvoer genereert, wordt deze opgeslagen met een coderingsniveau van AES-256 op een AWS Elastic File System (EFS)-volume.
- Als een GroundRunner de uitvoer genereert, wordt deze tijdelijk opgeslagen op het bestandssysteem van de host, die het versleutelingsniveau bepaalt.
Workflowbijlagen zijn vluchtig en verdwijnen nadat de workflow is voltooid. Om een bestand gekoppeld aan een workflow te bewaren, sla je het op in een bestandssysteem op locatie of op een cloudstation zoals Google® Drive of BOX®.
Gevoelige bestanden, zoals bronnen die worden geüpload voor een workspace of connector, worden versleuteld via HashiCorp Vault Transit-encryptie en versleuteld opgeslagen in Amazon Simple Storage Service (S3). Gevoelige tekstvelden, zoals authenticatiegegevens die zijn ingevoerd als connector eigenschap, worden opgeslagen als versleutelde HashiCorp Vault Secrets in Amazon DynamoDB®. Om de hoofdsleutel op te slaan, gebruiken zowel Vault Transit als Vault Secrets/KV Store awskms verzegeling.